Троянская программа, загружающая из интернета файлы без ведома пользователя.
Является приложением Windows (PE EXE-файл). Упакована при помощи FSG. Размер файла — 5049 байт. Размер в распакованном виде — около 45 КБ.
Инсталляция
После запуска троянец копирует себя в системный каталог Windows с именем kernels64.exe:
%System%\kernels64.exe
Затем регистрирует этот файл в ключах автозапуска системного реестра:
[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
"System"="%System%\kernels64.exe"
[HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices]
"SystemTools"=" %System%\kernels64.exe"
При каждой следующей загрузке Windows автоматически запустит файл-троянец.
Также троянец добавляет в реестре следующую запись, отключая тем самым «Диспетчер задач»:
[HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System]
"DisableTaskMgr"=1
Деструктивная активность
После запуска троянец проверяет существование следующих файлов:
%System%\vxh8jkdq1.exe
%System%\vxh8jkdq2.exe
%System%\vxh8jkdq5.exe
%System%\vxh8jkdq6.exe
%System%\vxh8jkdq7.exe
Если какой-либо из них не существует, то из интернета загружаются несколько файлов и сохраняются во временном каталоге Windows со следующими именами:
%Temp%\1.qtdfmp %Temp%\2.qtdfmp %Temp%\5.qtdfmp %Temp%\6.qtdfmp %Temp%\7.qtdfmp
Затем скачанные файлы копируются в системный каталог Windows с именами:
%System%\vxh8jkdq1.exe
%System%\vxh8jkdq2.exe
%System%\vxh8jkdq5.exe
%System%\vxh8jkdq6.exe
%System%\vxh8jkdq7.exe
После чего запускаются на исполнение.
В случае, если какой-либо из файлов не удалось загрузить, то предпринимается повторная попытка после 1 минуты ожидания.
Загруженный файл %System%\vxh8jkdq5.exe запускается на исполнение периодически через каждые 30 минут.
Троянец имеет опцию скачивать файлы с разных URL в зависимости от того, в какой стране находится зараженный компьютер (определяется настройками системы).
На момент создания описания файлы, загружаемые с этих URL, детектировались Антивирусом Касперского как Trojan-Downloader.Win32.Tibs.ba, Trojan-Downloader.Win32.Small.cnz, Trojan-Downloader.Win32.Tibs.dl, Trojan-Downloader.Win32.Tibs.dm и not-virus:Hoax.Win32.Renos.bt.
Также у злоумышленников существует возможность заменить загружаемые файлы другими вредоносными программами путём замены объектов, на которые указывают ссылки.